5NetScreen-IDP系统实施方案.doc

  1. 1、本文档共24页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
5NetScreen-IDP系统实施方案.doc

NetScreen-IDP方案 目 录 1. 你的网络能够抵御攻击吗? 3 2. 入侵检测与防护的功能要求 4 2.1. 网络入侵检测系统(NIDS)的利与弊 4 2.2. 检测技术 4 2.2.1. 协议异常的入侵检测方法 5 2.2.2. 运用状态签名的入侵检测 6 2.2.3. 后门检测的入侵检测方法 8 2.2.4. 流量异常的入侵检测方法 8 2.2.5. 常规表达式的模式匹配方法 9 2.3. 入侵检测和预防必须在带内(in-line)在线进行 9 2.3.1. 防止攻击潜逃 9 2.3.2. 防止攻击入侵 12 2.4. 可管理性 13 3. NetScreen的解决之道 14 3.1. 多重方法检测(MMD)提高精确度 14 3.1.1. 封包处理模式以提供精确数据 15 3.2. 带内操作模式提供真正保护 15 3.3. 集中式、基于规则的管理提供更高可控性 15 4. 总结 16 5. NetScreen-IDP系统实施方案 17 5.1. 工作模式 17 5.1.1. 1.嗅探(sniffer)模式 18 5.1.2. IDP系统线内模式 19 5.2. 实施步骤 23 你的网络能够抵御攻击吗? 现今商业环境与五年前相比有着显著不同。由于互联网的不断普及,公司之间的联系比以往更加密切。因此公司必须在发展或提高生产力的同时确保其网络的安全。 所有与互联网连接上的机构要做的第一件事,是安装防火墙。防火墙对于企业网络来说是一个周边警卫,决定往来的信息是否可以进出。防火墙之所以能做到这点,是根据多种标准(criteria)( 例如封包来源、目的地和协议 ( 而执行策略的(policy)(由“接受”和“拒绝”的规则所构成。通过提供接入控制,防火墙提供了出色的第一层防护。许多防火墙策略都支持允许机构在网上从事商业活动的协议,如SMTP, FTP, HTTP, SMTP和DNS,并使得有可能对内部系统造成威胁的信息无法进入。 第二层防护是针对在允许进入网络的信息中所潜藏的攻击,并保护网络免受那些攻击。如今一般企业普遍相信,被动式的、网络入侵检测系统(Network Intrusion Detection System, NIDS)能够保护机构免受攻击。遗憾的是,这种信念被下列原因被打破了错误报警 (False Alarms):许多NIDS解决方案导致错误结果,是由于它们所采用的入侵检测技术的局限和。大量的错误报警常常使系统管理员感到困惑,因为需要大量的人工过滤来鉴别混杂在错误报警中的真正的攻击。因此许多公司都变为对这些警报数据置诸不顾,换言之,系统无法发挥其用处。 管理能力低,维护量大:一般的NIDS解决方案都是很难管理和维护的,它需要大量的时间和精力去保持传感器的更新和安全策略的有效。 需要外包:很多公司误以为如果它们将NIDS加入其系统,它们需要将NIDS的维护工作外包给专业的安全服务提供商。 :现有的NIDS解决方案不能防止攻击。尽管声称具有防护能力,其实这些产品只是检测工具而已,防护能力是空洞的许诺。 入侵检测与防护的功能要求 网络入侵检测系统(NIDS)的利与弊 每个网络里都有恶意的流量。它可能是来自外部,试图偷取某种信息;也可能是内部一个心怀不满的员工想刻意制造破坏。无论是谁,你都想知道,并采取相对的措施。NIDS的功能就是提供警报,让网络管理员阻止其攻击进行破坏业务运作。可是,这必须取决于其检测能力和精确性,以准确地识别网络中的善意和恶意的流量。以下是由入侵检测所达到的结果(见图2): 未检测到的恶意流量 检测到的恶意流量 被系统当作恶意的善意流量(错误报警) 系统正确识别的善意流量 在恶意流量中:无法把恶意流量识别为攻击 这是最糟的情形。这意味着入侵检测系统失效,而NIDS未能拥有足够及广泛的入侵检测能力,或者所采用的解决方案未能检测到新产生的攻击。尽管要百分之百检测到所有的攻击是不可能的,但任何系统都应该把不能被检测到的攻击最小化。 在恶意流量中:识别真正的攻击这是一个理想的入侵检测结果。 检测恶意流量的速度和可靠性是衡量入侵检测系统精确性的指标。系统其他所有的功能都依赖于这个能力。系统越精确,就越可靠。在让系统采取必要的行动(如抛弃连接)去保护网络之前,它必须被确认拥有很高的精确性。 在善意流量中:将善意流量当作攻击 (即错误报警“false alarm”或假阳性“false positive”) 这是目前市场上NIDS解决方案中最让人头疼和最耗时的问题。当NIDS遇到合法的和良性的流量时,却断定里面藏有攻击。这种情况是非常糟糕的,它需要网络管理员去调查每一个报警,以便确定攻击,并评估损失。花在调查错误报警的每一分钟将会减少调查真正威胁的可用时间。其结果是错误报警破坏了你对产品的信任,并有

文档评论(0)

wendang_12 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档